Администратор Linux - удаленное управление

Говоря об удаленном управлении в CentOS в качестве администратора, мы рассмотрим два метода:

  • Консольное управление
  • Управление графическим интерфейсом

Удаленное управление через консоль

Удаленное управление через консоль означает выполнение административных задач из командной строки через службу, например ssh. Чтобы эффективно использовать CentOS Linux, вам, как администратору, необходимо хорошо владеть командной строкой. По сути, Linux был разработан для использования с консоли. Даже сегодня некоторые системные администраторы предпочитают мощь команды и экономят деньги на оборудовании, запуская «голые» системы Linux без физического терминала и без установленного графического интерфейса.

Удаленное управление через графический интерфейс

Удаленное управление с помощью графического интерфейса обычно осуществляется двумя способами: удаленным X-сеансом или протоколом уровня приложения с графическим интерфейсом, например VNC. У каждого есть свои сильные и слабые стороны. Однако по большей части VNC - лучший выбор для администрирования. Он позволяет графическое управление из других операционных систем, таких как Windows или OS X, которые изначально не поддерживают протокол X Windows.

Использование удаленных X-сессий является естественным для оконных менеджеров X-Window и DesktopManager, работающих на X. Однако вся архитектура X-сессий в основном используется в Linux. Не каждый системный администратор будет иметь под рукой ноутбук с Linux для установки удаленного X-сеанса. Поэтому чаще всего используется адаптированная версия VNC Server.

Самыми большими недостатками VNC являются: VNC изначально не поддерживает многопользовательскую среду, такую ​​как удаленные X-сеансы. Следовательно, для доступа к графическому интерфейсу конечных пользователей удаленные сеансы XS будут лучшим выбором. Однако мы в основном занимаемся удаленным администрированием сервера CentOS.

Мы обсудим настройку VNC для нескольких администраторов по сравнению с несколькими сотнями конечных пользователей с удаленными X-сессиями.

Создание основы безопасности с помощью SSH для удаленного консольного доступа

ssh или же Secure Shellтеперь стандарт для удаленного администрирования любого сервера Linux. SSH, в отличие от telnet, использует TLS для проверки подлинности и сквозного шифрования связи. При правильной настройке администратор может быть уверен, что и его пароль, и сервер являются надежными удаленно.

Перед настройкой SSH давайте немного поговорим о базовой безопасности и наименее распространенном доступе. Когда SSH работает на порте по умолчанию 22; Рано или поздно вы столкнетесь с атаками по словарю методом перебора общих имен пользователей и паролей. Это просто связано с территорией. Независимо от того, сколько хостов вы добавляете в свои файлы запрета, они будут приходить с разных IP-адресов ежедневно.

Имея несколько общих правил, вы можете просто предпринять некоторые активные шаги и позволить плохим парням тратить свое время. Ниже приведены несколько правил безопасности, которым необходимо следовать при использовании SSH для удаленного администрирования на производственном сервере.

  • Никогда не используйте общее имя пользователя или пароль. Имена пользователей в системе не должны быть системными по умолчанию или связаны с адресом электронной почты компании, например:[email protected]

  • Доступ с правами root или административный доступ через SSH запрещен. Используйте уникальное имя пользователя и su для root или учетной записи администратора после аутентификации через SSH.

  • Политика паролей обязательна: сложные пароли пользователей SSH, например: «This & IS & a & GUD & P @ ssW0rd & 24 & me». Меняйте пароли каждые несколько месяцев, чтобы исключить уязвимость к атакам методом перебора.

  • Отключите заброшенные или неиспользуемые учетные записи в течение длительного времени. Если у менеджера по найму есть голосовая почта, в которой говорится, что он не будет давать интервью в течение месяца; Это может привести к тому, что, например, технически подкованные люди будут иметь много свободного времени.

  • Следите за своими журналами ежедневно. Как системный администратор, каждое утро посвящайте как минимум 30-40 минут проверке журналов системы и безопасности. Если вас спросят, дайте всем знать, что у вас нет времени не проявлять инициативу. Эта практика поможет изолировать предупреждающие знаки до того, как проблема возникнет у конечных пользователей и прибыли компании.

Note On Linux Security- Всем, кто интересуется администрированием Linux, следует активно следить за последними новостями и технологиями Cyber-Security. Хотя чаще всего мы слышим о взломе других операционных систем, незащищенный компьютер с Linux является желанным сокровищем для киберпреступников. Благодаря мощи Linux в высокоскоростном интернет-соединении опытный киберпреступник может использовать Linux для атак на другие операционные системы.

Установите и настройте SSH для удаленного доступа

Step 1 - Установите SSH-сервер и все зависимые пакеты.

[root@localhost]# yum -y install openssh-server 
'Loaded plugins: fastestmirror, langpacks 
Loading mirror speeds from cached hostfile 
* base: repos.centos.net 
* extras: repos.dfw.centos.com 
* updates: centos.centos.com 
Resolving Dependencies 
   --> Running transaction check 
   ---> Package openssh-server.x86_64 0:6.6.1p1-33.el7_3 will be installed 
   --> Finished Dependency Resolution 
Dependencies Resolved

Step 2 - Сделайте безопасное регулярное использование, чтобы добавить для доступа к оболочке.

[root@localhost ~]# useradd choozer 
[root@localhost ~]# usermod -c "Remote Access" -d /home/choozer -g users -G 
wheel -a choozer

Note- Мы добавили нового пользователя в группу wheel, что позволяет использовать su в качестве root после аутентификации доступа SSH. Мы также использовали имя пользователя, которого нет в обычных списках слов. Таким образом, наша учетная запись не будет заблокирована при атаке по SSH.

Файл с настройками конфигурации для sshd-сервера - это / etc / ssh / sshd_config .

Первоначально мы хотим отредактировать следующие части:

LoginGraceTime 60m
PermitRootLogin no

Step 3- Перезагрузите демон SSH sshd .

[root@localhost]# systemctl reload sshd

Рекомендуется установить период отсрочки выхода на 60 минут. Для некоторых сложных административных задач время по умолчанию может превышать 2 минуты. На самом деле нет ничего более неприятного, чем тайм-аут сеанса SSH при настройке или исследовании изменений.

Step 4 - Попробуем войти в систему, используя учетные данные root.

bash-3.2# ssh centos.vmnet.local 
[email protected]'s password:   
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

Step 5- Мы больше не можем удаленно входить в систему через ssh с учетными данными root . Итак, давайте войдем в нашу непривилегированную учетную запись пользователя и su в учетную запись root .

bash-3.2# ssh [email protected]
[email protected]'s password:
[choozer@localhost ~]$ su root
Password:

[root@localhost choozer]#

Step 6- Наконец, давайте убедимся, что служба SSHD загружается при загрузке, а firewalld разрешает внешние SSH-соединения.

[root@localhost]# systemctl enable sshd

[root@localhost]# firewall-cmd --permanent --add-service=ssh 
success

[root@localhost]# firewall-cmd --reload 
success
 
[root@localhost]#

Теперь SSH настроен и готов к удаленному администрированию. В зависимости от границы вашего предприятия может потребоваться настройка пограничного устройства фильтрации пакетов, чтобы разрешить удаленное администрирование SSH за пределами корпоративной локальной сети.

Настроить VNC для удаленного администрирования CentOS

Есть несколько способов включить удаленное администрирование CentOS через VNC на CentOS 6-7. Самый простой, но наиболее ограничивающий способ - просто использовать пакет под названием vino .Vino- это приложение для подключения к виртуальному сетевому рабочему столу для Linux, разработанное на платформе Gnome Desktop. Следовательно, предполагается, что установка была завершена с помощью Gnome Desktop. Если рабочий стол Gnome не установлен, сделайте это, прежде чем продолжить. По умолчанию Vino будет установлен с графическим интерфейсом пользователя Gnome.

Чтобы настроить совместное использование экрана с Vino под Gnome, мы хотим перейти в системные настройки CentOS для совместного использования экрана.

Applications->System Tools->Settings->Sharing

Примечания к настройке общего доступа к рабочему столу VNC -

  • Disable New Connections must ask for access- Эта опция потребует физического доступа для подтверждения каждого соединения. Эта опция предотвратит удаленное администрирование, если кто-то не находится за физическим рабочим столом.

  • Enable Require a password- Отдельно от пароля пользователя. Он будет контролировать доступ к виртуальному рабочему столу и по-прежнему запрашивать пароль пользователя для доступа к заблокированному рабочему столу (это хорошо для безопасности).

  • Forward UP&P Ports: If available leave disabled- Переадресация портов UP&P будет отправлять запросы Universal Plug and Play для устройства уровня 3, чтобы разрешить VNC-соединения с хостом автоматически. Мы этого не хотим.

Убедитесь, что vino прослушивает порт VNC 5900.

[root@localhost]# netstat -antup | grep vino 
tcp        0        0 0.0.0.0:5900        0.0.0.0:*        LISTEN        4873/vino-server
tcp6       0        0 :::5900                :::*          LISTEN        4873/vino-server
   
[root@localhost]#

Теперь давайте настроим наш брандмауэр, чтобы разрешить входящие соединения VNC.

[root@localhost]# firewall-cmd --permanent --add-port=5900/tcp 
success

[root@localhost]# firewall-cmd --reload 
success

[root@localhost rdc]#

Наконец, как видите, мы можем подключить наш CentOS Box и администрировать его с помощью клиента VNC в Windows или OS X.

Для VNC так же важно соблюдать те же правила, что и для SSH. Как и SSH, VNC постоянно сканируется по диапазонам IP-адресов и проверяется на наличие слабых паролей. Также стоит отметить, что оставление входа в CentOS по умолчанию с включенным тайм-аутом консоли действительно помогает с удаленной безопасностью VNC. Поскольку злоумышленнику понадобятся VNC и пароль пользователя, убедитесь, что ваш пароль для совместного использования экрана отличается и его так же сложно угадать, как и пароль пользователя.

После ввода пароля совместного использования экрана VNC мы также должны ввести пароль пользователя для доступа к заблокированному рабочему столу.

Security Note- По умолчанию VNC не является зашифрованным протоколом. Следовательно, соединение VNC следует туннелировать через SSH для шифрования.

Настройка туннеля SSH через VNC

Настройка SSH-туннеля обеспечит уровень шифрования SSH для туннелирования VNC-соединения. Еще одна замечательная функция - это использование SSH-сжатия для добавления еще одного уровня сжатия к обновлениям экрана VNC GUI. Более безопасный и быстрый - это всегда хорошо при администрировании серверов CentOS!

Итак, с вашего клиента, который будет инициировать соединение VNC, давайте настроим удаленный туннель SSH. В этой демонстрации мы используем OS X. Сначала нам нужно выполнить sudo -s для получения root-прав .

bash-3.2# sudo -s 
password:

Введите пароль пользователя, и теперь у нас должна быть корневая оболочка с приглашением # -

bash-3.2#

Теперь давайте создадим наш SSH-туннель .

ssh -f [email protected] -L 2200:192.168.1.143:5900 -N

Давайте разберем эту команду -

  • ssh - Запускает локальную утилиту ssh

  • -f - ssh должен работать в фоновом режиме после полного выполнения задачи

  • [email protected] - Удаленный пользователь ssh на сервере CentOS, на котором размещены службы VNC.

  • -L 2200:192.168.1.143:5900 - Создайте наш туннель [Локальный порт]: [удаленный хост]: [удаленный порт службы VNC]

  • -N сообщает ssh, что мы не хотим выполнять команду в удаленной системе

bash-3.2# ssh -f [email protected] -L 2200:192.168.1.143:5900 -N
[email protected]'s password:

После успешного ввода пароля удаленного пользователя ssh создается наш туннель ssh . Теперь самое интересное! Чтобы подключиться, мы указываем нашему клиенту VNC на локальном хосте порт нашего туннеля, в данном случае порт 2200. Ниже приведена конфигурация клиента VNC для ноутбука Mac:

И, наконец, наше удаленное подключение к рабочему столу VNC!

Самое замечательное в SSH-туннелировании то, что его можно использовать практически для любого протокола. Туннели SSH обычно используются для обхода фильтрации входящего и исходящего портов интернет-провайдером, а также для обмана IDS / IPS на уровне приложений, избегая при этом другого мониторинга уровня сеанса.

  • Ваш интернет-провайдер может фильтровать порт 5900 для некоммерческих учетных записей, но разрешить SSH на порту 22 (или можно запустить SSH на любом порту, если порт 22 фильтруется).

  • IPS и IDS прикладного уровня смотрят на полезную нагрузку. Например, обычное переполнение буфера или SQL-инъекция. Сквозное шифрование SSH будет шифровать данные прикладного уровня.

SSH Tunneling - отличный инструмент в наборе инструментов администратора Linux для выполнения задач. Однако, как администратор, мы хотим изучить возможность ограничения доступности менее привилегированных пользователей, имеющих доступ к SSH-туннелированию.

Administration Security Note- Ограничение туннелирования SSH - это то, что требует размышлений со стороны администратора. Оценка, зачем пользователям вообще нужно SSH-туннелирование; каким пользователям нужно туннелирование; наряду с практической вероятностью риска и воздействием наихудшего случая.

Это продвинутая тема, выходящая за рамки учебника среднего уровня. Тем, кто хочет достичь высших эшелонов администрирования CentOS Linux, рекомендуется провести исследование по этой теме.

Используйте SSH-туннель для удаленной X-Windows

Дизайн X-Windows в Linux действительно хорош по сравнению с Windows. Если мы хотим управлять удаленным Linux-сервером из другого Linux-бокса, мы можем воспользоваться механизмами, встроенными в X.

X-Windows (часто называемая просто «X») предоставляет механизм для отображения окон приложений, происходящих из одного блока Linux, в отображаемую часть X в другом блоке Linux. Таким образом, через SSH мы можем запросить перенаправление приложения X-Windows на дисплей другого Linux-сервера по всему миру!

Чтобы запустить приложение X удаленно через туннель ssh, нам просто нужно запустить одну команду -

[root@localhost]# ssh -X [email protected]

The syntax is - ssh -X [пользователь] @ [хост], и на хосте должен быть запущен ssh с допустимым пользователем.

Ниже приведен снимок экрана GIMP, запущенного на рабочей станции Ubuntu через удаленный ssh-туннель XWindows.

Довольно просто запускать приложения удаленно с другого сервера или рабочей станции Linux. Также можно запустить весь X-сеанс и управлять всей средой рабочего стола удаленно несколькими способами.

  • XDMCP

  • Безголовые программные пакеты, такие как NX

  • Настройка альтернативных дисплеев и рабочих столов в X и диспетчерах рабочего стола, таких как Gnome или KDE

Этот метод чаще всего используется для безголовых серверов без физического дисплея и действительно выходит за рамки учебного пособия среднего уровня. Тем не менее, полезно знать доступные варианты.